s2Member bis 111216 s2member_pro_authnet_checkout[coupon] Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als problematisch klassifizierte Schwachstelle in s2Member entdeckt. Betroffen hiervon ist ein unbekannter Ablauf. Dank Manipulation des Arguments s2member_pro_authnet_checkout[coupon] mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2011-5082 vorgenommen. Der Angriff kann remote ausgeführt werden. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Eine problematische Schwachstelle wurde in s2Member ausgemacht. Dies betrifft ein unbekannter Teil. Durch das Manipulieren des Arguments s2member_pro_authnet_checkout[coupon] mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Mit Auswirkungen muss man rechnen für die Integrität. CVE fasst zusammen:
Cross-site scripting (XSS) vulnerability in the s2Member Pro plugin before 111220 for WordPress allows remote attackers to inject arbitrary web script or HTML via the s2member_pro_authnet_checkout[coupon] parameter (aka Coupon Code field).Die Schwachstelle wurde am 19.03.2012 durch Martin (Website) veröffentlicht. Das Advisory kann von securityfocus.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 19.03.2012 als CVE-2011-5082 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007.
Ein Upgrade auf die Version 110710 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (73202), SecurityFocus (BID 51997†), Secunia (SA47954†) und Vulnerability Center (SBV-35404†) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Name
Version
- 110604
- 110605
- 110606
- 110617
- 110620
- 110708
- 110709
- 110710
- 110731
- 110812
- 110815
- 110912
- 110913
- 110915
- 110926
- 110927
- 111002
- 111003
- 111011
- 111017
- 111029
- 111105
- 111206
- 111216
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.1
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: s2Member 110710
Timeline
14.02.2012 🔍14.02.2012 🔍
14.02.2012 🔍
19.03.2012 🔍
19.03.2012 🔍
19.03.2012 🔍
21.06.2012 🔍
23.03.2015 🔍
13.04.2017 🔍
Quellen
Advisory: securityfocus.com⛔Person: Martin
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2011-5082 (🔍)
GCVE (CVE): GCVE-0-2011-5082
GCVE (VulDB): GCVE-100-60452
X-Force: 73202
SecurityFocus: 51997 - WordPress s2Member Pro Plugin 'Coupon Code' Field HTML Injection Vulnerability
Secunia: 47954 - WordPress s2Member Pro Plugin "Coupon Code" Cross-Site Scripting Vulnerability, Less Critical
Vulnerability Center: 35404 - s2Member Pro Plugin Before 111220 for WordPress Cross Site Scripting Vulnerability, Medium
Eintrag
Erstellt: 23.03.2015 16:50Aktualisierung: 13.04.2017 21:05
Anpassungen: 23.03.2015 16:50 (50), 13.04.2017 21:05 (13)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.